En esta ocasión me dio por leer la carta de principio a fin, ya sé que no aporta nada, todos sabemos que tenemos que hacer una primera operación con PIN en un cajero para activar la tarjeta y prevenir así su uso fraudulento por terceros. Pues bien, pude ver que además del método tradicional del cajero se ofrecía la opción de activación a través de la banca online. Como yo no tengo banca online con esta entidad no lo consideré pero, y ahora sí, para mi sorpresa, ofrecían un servicio de activación telefónico.
Vaya, eso sí que parece cómodo, pensé, pero no acertaba a entender cual sería el método de autenticación que yo tendría que usar ante la operadora real o virtual que me atendiera. De hecho el texto de la carta, como veis, no aclaraba mucho.
¿Sólo con los datos de la tarjeta que tengo delante me autentico si precisamente lo que quiere comprobar la entidad es que a tarjeta ha llegado al destinatario correcto? A mí me faltaba algo.
Esperaba que en el fondo fuese un servicio derivado de la banca online y me solicitase algún tipo de contraseña por lo que esperaba que, en mi caso, fracasase la activación telefónica. Para resolver todas estas inquietudes, pues llamé (si le das al play abajo puedes escuchar la llamada). Pues bien, lo inaudito viene ahora: me solicitaban el PIN !!!
Claro, así cualquiera se autentica, pero..., esto..., en fin..., esto es una burrada ¿no? pero al cabo de unos minutos, cuando empecé a recuperarme del shock, otra terrible idea me vino a la cabeza: PHISING!, PHISING! me están haciendo PHISING! Pensé.
No sabía cual de las dos ideas me inquietaba más: si una banda de desalmados intentaba conseguir mi PIN o mi entidad bancaria tenía el cuajo de obligarme a "cantar" mi número secreto.
Para verificar la hipótesis del phising me acerqué rápidamente a un cajero para ver si la tarjeta se podía activar (...seguro que esta banda criminal me ha mandado una tarjeta falsa con el único fin de conseguir mi PIN actual...) pero, la tarjeta se activó. Vaya, hay que complicar un poco más la hipótesis...ya está: han interceptado el envío de mi tarjeta auténtica, han reemplazado la carta con las instrucciones maliciosas del teléfono y todo eso, y me la han vuelto a enviar, eso es !
En cuanto a la hipótesis del banco, decir, que hay normas y especificaciones en el sector financiero acerca de cómo gestionar el PIN de manera segura, desde organismos como ISO (ISO9564) y ANSI(x9.8) hasta las marcas emisoras de tarjetas a través del PCI Security Standards Council en cualquiera de sus ámbitos de aplicación: PCI PTS, PCI DSS... No es posible que una entidad bancaria de esta talla, mejor dicho, no es posible que ninguna entidad bancaria independientemente de su tamaño, obligue a exponer y queden así comprometidos los números secretos de sus usuarios. No, no puede ser.
<<<En este punto de la historia podríamos hacer una porra a ver que opción os parece más probable.>>>
Así que me puse a verificar la opción banco. Esta entidad, tiene un portal donde asesora a los usuarios de los peligros del phising, de cómo detectarlo y de lo que la entidad siempre va a hacer. Y leo..
Ahí está ! Phising, Phising ! o, ¿quizá no?
Hablando ya un poco más en serio, porque el asunto es de verdad serio, la moraleja de esta historia es que no te fíes ni de tu entidad bancaria, protege tu PIN como si dinero fuera porque realmente lo es, y BAJO NINGUN CONCEPTO introduzcas tu número secreto de tu tarjeta en otro sitio que no sea un cajero automático de confianza o un terminal de pago de un comercio de garantía.
No hay comentarios:
Publicar un comentario